Seite 4: Kommt BGPsec 2026?

Inhaltsverzeichnis

Snijders, der vor kurzem zum CDN-Anbieter Fastly gewechselt hat, ist optimistisch und dabei, eine Machbarkeitsstudie für den Einsatz der Pfadvalidierung auf die Beine zu stellen. Aktuell sei er erst einmal dabei, Interessierte zusammenzutrommeln. Die Gruppe soll dann erkunden, welche Veränderungen es an aktueller Router-Hardware noch braucht, welche Softwareprojekte noch zu finanzieren sind, was das kosten soll und wo etwaige Geldgeber gefunden werden können.

"Ich halte 2026 für machbar!" schreibt er auf eine Anfrage. Die Roadmap für die Machbarkeitsstudie sieht vor, dass man sich noch zwei Jahre gibt, um die für Feldtests notwendigen Bausteine zu schaffen. Nach einem Jahr Erprobung und Monitoring hätte man dann immer noch ein Jahr bis zum möglichen kommerziellen Ausrollen.

"Natürlich bin ich ein Optimist", schreibt Snijders, "wenn man auf einen hohen Berg klettern will, braucht man positives Denken!" Mit dem Zieldatum 2026 wolle die kleine Gruppe, die sich bislang zusammengefunden habe, zum Ausdruck bringen, dass es durchaus noch ein paar Jahre dauere, aber dass man das Ganze durchaus noch zu "Lebzeiten" abschließen könne.

Dass sich etwas bewegt, beobachtet auch Thomas King, Chief Technology Officer des DE-CIX, eines der international größten Internet-Knoten. "BGPsec-Implementierungen kommen jetzt gerade in den Betriebssystemen der Router an, sodass man sie auch nutzen kann", sagt er. Das zeigten die Featurelisten und Roadmaps der Routerhersteller. Bei den ganz großen Routern sei überdies auch heute schon Hardware integriert, die die notwendigen Cryptooperationen übernehmen könne. Für normale Router gilt dies aber noch nicht und Updates mit Cryptoprozessoren für fünf Jahre alter Router seien nicht wahrscheinlich.

Wie bei RPKI werde der Umstieg auf entsprechend ausgerüstete Router und das Einpreisen des Aufwandes, der für das Ausrollen und Aktualisieren von Schlüsseln notwendig sei, ganz ein Problem für mittlere und kleinere Betreiber. Setzen die großen Provider die Sicherheitsmaßnahmen um, sei man aber schon ein Stück weiter, schätzt er. Kleinere Netze verlassen sich in vielen Fällen ohnehin auf ihren Upstream-Provider. Anders als bei RPKI leidet die Pfadabsicherung freilich dann, wenn auf dem Weg liegende Systeme nicht mitmachen.

Geschäftsmodelle statt weiterer Bausteine

King ist überzeugt, dass die Zukunft des sicheren Routing nicht an der Technik scheitern wird. Natürlich könne man viele Dinge noch schöner, noch runder, noch schneller machen. Eine aktuelle Idee, die etwa Bush sehr befürwortet, ist eine Umstellung der Felder in der BGPsec-Signatur, um das Protokoll um den Faktor fünf zu beschleunigen. Auch an einem Mechanismus zur Autorisierung des AS-Betreibers und an Ideen zum RPKI-Transport wird noch gearbeitet.

Woran es für die Umsetzung der neuen Mechanismen aber noch mehr fehlt, meint King, sei das Geschäftsmodell. RPKI rechne sich inzwischen ganz offensichtlich, zumindest für die großen Provider. "Die vielen Leaks, die wir praktisch täglich sehen, waren einfach nicht mehr tragbar." An dieser Stelle müsse man auch damit rechnen, dass Regulierer irgendwann sagen: "Der Sicherheitsgurt ist da, jetzt würden wir ihn auch gerne sehen", schätzt er.

Anders als für RPKI fällt die Kosten-Nutzen-Rechnung derzeit dagegen nicht nur für BGPsec aus, sondern bei Ideen, die auch die IP-Datenverkehre durch die Netze per Source Address Validation absichern wollen. Eine ganze Phalanx neuer Vorschläge chinesischer Hersteller und Universitäten legten diese Mitte März bei der IETF auf den Tisch. Dabei gibt es bereits eine ganze Reihe von RFCs aus den Arbeiten, der ebenfalls chinesisch dominierten SAVI-Arbeitsgruppe.

Die Vorschläge sehen zwar nicht schlecht aus, meint King, doch schlage gerade bei der Source Validation die Frage nach dem Geschäftsmodell voll zu. "Die Ressourcen aller Infrastrukturprovider sind begrenzt", sagt er, "ich muss mich also fragen, wofür setze ich sie ein." Mit der Source Address Validation mache man in erster Linie die Netze der anderen sicherer. "Mache ich das, um Dein Netz sicherer zu machen oder versuche ich mir einen Wettbewerbsvorteil zu verschaffen, damit es mich morgen als Provider noch gibt?", laute die Frage.

Das von der ISOC in Leben gerufene Projekt MANRS ist ein Versuch, den Providern, die RPKI und auch klassisches Egress-Filtering aus ihren Netzen einsetzen und damit verhindern, dass bösartiger oder falsch betitelter Verkehr ihre Netze verlässt, etwas auf die Haben-Seite zu schreiben. Wer sich an die Regeln der "Mutually Agreed Norms for Routing Security" hält, erhält das Prädikat "MANRS"-kompatibel. Es geben Kunden, die etwa beim DE-CIX fragen, ob man das erfülle.

Allerdings ist schon der Einsatz von RPKI rein optional. Stattdessen könne auch auf der Basis der von den RIRs betriebenen, allerdings nicht fälschungssicheren Internet Routing Registry gefiltert werden. Das Instrument setzt auf Freiwilligkeit bei der Einführung der aufwändigeren Maßnahme.